我正在开发Web应用程序。 我需要检查依赖项的安全性。
我实际上正在使用OWASP依赖项检查来扫描源代码,但我认为它不是在Web应用程序上使用的最佳工具。 我认为npm审核或yarn审核是检查此应用程序之王的依赖项安全性的更好工具。
使用OWASP,我使用OWASP SonarQube Project将结果集成到sonarQube中 使用的设置示例:
sonar.dependencyCheck.reportPath=$(System.DefaultWorkingDirectory)/DependencyCheckResults/dependency-check-report.xml
sonar.dependencyCheck.htmlReportPath=$(System.DefaultWorkingDirectory)/DependencyCheckResults/dependency-check-report.html
以同样的方式,是否可以将npm审核(或纱线审核)报告用于SonarQube?
此刻,我使用以下命令生成json格式的报告:
npm audit --json
我还知道可以使用https://github.com/eventOneHQ/npm-audit-html
从npm审核生成HTML报告因此,它只是缺少一个SonarQube插件来导入它或类似的东西,但我找不到它。
答案 0 :(得分:2)
当前,这似乎是不可能的。但是,this npm rfc 0004指定了npm audit --owasp标志来解决此问题。该RFC已被接受,但尚未实施。
也许值得尝试使用一些sonarQube插件来解析npm audit --json的输出,但是我对此一无所知。